Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド
シスコシステムズ合同会社〒107-6227東京都港区赤坂9-7-1 ミッドタウン・タワーhttp://www.cisco.com/jpお問い合わせ先:シスココンタクトセンター
0120-092-255(フリーコール、携帯・PHS含む)電話受付時間:平日 10:00~12:00、13:00~17:00http://www.cisco.com/jp/go/contactcenter/
【注意】シスコ製品をご使用になる前に、安全上の注意( www.cisco.com/jp/go/safety_warning/)をご確認ください。本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照くだ
さい。また、契約等の記述については、弊社販売パートナー、または、弊社担当者にご確認ください。
THE SPECIFICATIONS AND INFORMATION REGARDING THE PRODUCTS IN THIS MANUAL ARE SUBJECT TO CHANGE WITHOUT NOTICE. ALL STATEMENTS,INFORMATION, AND RECOMMENDATIONS IN THIS MANUAL ARE BELIEVED TO BE ACCURATE BUT ARE PRESENTED WITHOUT WARRANTY OF ANY KIND,EXPRESS OR IMPLIED. USERS MUST TAKE FULL RESPONSIBILITY FOR THEIR APPLICATION OF ANY PRODUCTS.
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITHTHE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY,CONTACT YOUR CISCO REPRESENTATIVE FOR A COPY.
The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain version ofthe UNIX operating system. All rights reserved. Copyright © 1981, Regents of the University of California.
NOTWITHSTANDING ANY OTHER WARRANTY HEREIN, ALL DOCUMENT FILES AND SOFTWARE OF THESE SUPPLIERS ARE PROVIDED “AS IS" WITH ALL FAULTS.CISCO AND THE ABOVE-NAMED SUPPLIERS DISCLAIM ALL WARRANTIES, EXPRESSED OR IMPLIED, INCLUDING, WITHOUT LIMITATION, THOSE OFMERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT OR ARISING FROM A COURSE OF DEALING, USAGE, OR TRADE PRACTICE.
IN NO EVENT SHALL CISCO OR ITS SUPPLIERS BE LIABLE FOR ANY INDIRECT, SPECIAL, CONSEQUENTIAL, OR INCIDENTAL DAMAGES, INCLUDING, WITHOUTLIMITATION, LOST PROFITS OR LOSS OR DAMAGE TO DATA ARISING OUT OF THE USE OR INABILITY TO USE THIS MANUAL, EVEN IF CISCO OR ITS SUPPLIERSHAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.
Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any examples, command display output, networktopology diagrams, and other figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses or phone numbers in illustrative content is unintentionaland coincidental.
All printed copies and duplicate soft copies of this document are considered uncontrolled. See the current online version for the latest version.
Cisco has more than 200 offices worldwide. Addresses and phone numbers are listed on the Cisco website at www.cisco.com/go/offices.
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL:https://www.cisco.com/c/en/us/about/legal/trademarks.html. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply apartnership relationship between Cisco and any other company. (1721R)
© 2020 Cisco Systems, Inc. All rights reserved.
https://www.cisco.com/c/en/us/about/legal/trademarks.html
目次
AnyConnectの展開 1第 1 章
展開前の作業 1
AnyConnect展開の概要 2
AnyConnectのためのエンドポイントの準備 5
AnyConnectとモバイルブロードバンドカードの使用方法 5
Windowsでの Internet Explorer信頼済みサイトのリストへの ASAの追加 5
Internet Explorerでのプロキシ変更のブロック 6
AnyConnectによるWindows RDPセッションの処理方法の設定 7
AnyConnectによる Linux SSHセッションの処理方法の設定 9
Windowsでの DES-only SSL暗号化 9
Linux上での NVMの使用 10
AnyConnectカーネルモジュールを構築するための必要条件 10
NVMの構築済み AnyConnect Linuxカーネルモジュールとのパッケージ化 10
AnyConnectの事前展開 11
事前展開とWeb展開向けの AnyConnectモジュール実行可能ファイル 13
AnyConnectプロファイルを事前展開する場所 14
AnyConnectを使用した VMのクローンに関するガイドライン(Windowsのみ) 16
スタンドアロンアプリケーションとしての AnyConnectモジュールの事前展開 17
Windowsでの SMSによるスタンドアロンモジュールの展開 17
スタンドアロンアプリケーションとしての AnyConnectモジュールの展開 18
スタンドアロンモジュールのユーザインストール 18
Windowsへの事前展開 19
zipファイルを使用した AnyConnectの配布 19
AnyConnect zipファイルの内容 20
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドiii
SMSを使用した AnyConnectの配布 20
Windows事前展開セキュリティオプション 22
Windowsでの AnyConnectモジュールのインストールおよび削除の順序 23
macOSへの事前展開 24
macOSでの AnyConnectのインストールおよびアンインストール 24
macOSへのAnyConnectモジュールのスタンドアロンアプリケーションとしてのインス
トール 24
macOS上のアプリケーションの制限 26
Linuxへの事前展開 26
Linux用モジュールのインストール 26
Linux用モジュールのアンインストール 27
Linuxデバイスへの NVMの手動インストール/アンインストール 27
Firefoxでのサーバ証明書検証の初期化 27
Linuxデバイスへの DARTの手動インストール 28
Web展開 AnyConnect 28
ASAでのWeb展開の設定 30
WebLaunchのブラウザの制限 30
AnyConnectパッケージのダウンロード 31
ASAでの AnyConnectパッケージのロード 31
追加の AnyConnectモジュールの有効化 32
ASDMでのクライアントプロファイルの作成 32
ISEでのWeb展開の設定 33
ISEアップロードのための AnyConnectファイルの準備 34
AnyConnectを展開するための ISEの設定 35
FTDでのWeb展開の設定 36
AnyConnectソフトウェアおよびプロファイルの更新 38
AnyConnect自動更新の無効化 40
ユーザにWebLaunch中に AnyConnectのダウンロードを求めるプロンプトの表示 40
ユーザに対するアップグレード遅延の許可 41
更新ポリシーの設定 44
更新ポリシーの概要 44
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドiv
目次
許可されたサーバ更新ポリシーの動作 45
不正なサーバ更新ポリシーの動作 45
更新ポリシーのガイドライン 46
更新ポリシーの例 47
AnyConnect参照情報 49
ローカルコンピュータ上のユーザプリファレンスファイルの場所 49
AnyConnectおよびレガシー VPNクライアントで使用されるポート 49
AnyConnectクライアントとインストーラのカスタマイズとローカライズ 51第 2 章
AnyConnectインストール動作の変更 51
カスタマーエクスペリエンスフィードバックの無効化 51
インストール動作の変更、Windows 52
クライアントインストールをカスタマイズするWindowsインストーラプロパティ 53
AnyConnectモジュール用のWindowsインストーラプロパティ 54
適応型セキュリティアプライアンスへのカスタマイズされたインストーラトランス
フォームのインポート 55
AnyConnectインストーラ画面のローカライズ 56
適応型セキュリティアプライアンスへのローカライズされたインストーラトランス
フォームのインポート 57
インストール動作の変更、macOS 59
ACTransforms.xmlによる macOSでのインストーラ動作のカスタマイズ 59
カスタマーエクスペリエンスフィードバックモジュールの無効化 59
インストール動作の変更、Linux 60
ACTransform.xmlによる Linuxでのインストーラ動作のカスタマイズ 60
DSCPの保存の有効化 60
パブリック DHCPサーバルートの設定 61
AnyConnect GUIテキストとメッセージのカスタマイズ 61
AnyConnectのテキストとメッセージの追加または編集 63
適応型セキュリティアプライアンスへの変換テーブルのインポート 66
エンタープライズ展開用のメッセージカタログの作成 66
ASAのカスタマイズした変換テーブルへの新しいメッセージの統合 67
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドv
目次
クライアントでのWindowsのデフォルト言語の選択 69
AnyConnect GUIのカスタムアイコンおよびロゴの作成 69
AnyConnect GUIコンポーネントの置き換え 70
Windows用 AnyConnectアイコンとロゴ 71
Linux用 AnyConnectアイコンとロゴ 76
macOS用 AnyConnectアイコンとロゴ 78
AnyConnectクライアントのヘルプファイルの作成とアップロード 78
スクリプトの作成および展開 79
スクリプトの作成、テスト、および展開 81
スクリプトに関する AnyConnectプロファイルの設定 82
スクリプトのトラブルシューティング 83
AnyConnect APIによるカスタムアプリケーションの作成と展開 84
AnyConnect CLIコマンドの使用 85
クライアント CLIプロンプトの起動 85
クライアント CLIコマンドの使用 85
ASAによるセッション終了時にWindowsポップアップメッセージが表示されないように
する 87
ISE展開のための AnyConnectカスタマイズおよびローカリゼーションの準備 88
AnyConnectローカリゼーションバンドルの準備 88
AnyConnectカスタマイゼーションバンドルの準備 90
AnyConnectプロファイルエディタ 93第 3 章
プロファイルエディタについて 93
ASDMからの新しいプロファイルの追加 93
AnyConnect VPNプロファイル 94
AnyConnectプロファイルエディタ、プリファレンス(Part 1) 95
AnyConnectプロファイルエディタ、プリファレンス(Part 2) 100
AnyConnectプロファイルエディタのバックアップサーバ 106
AnyConnectプロファイルエディタの証明書照合 107
AnyConnectプロファイルエディタの証明書の登録 110
AnyConnectプロファイルエディタの証明書ピン 112
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドvi
目次
証明書ピン留めウィザード 112
AnyConnectプロファイルエディタのモバイルポリシー 113
AnyConnectプロファイルエディタのサーバリスト 113
AnyConnectプロファイルエディタのサーバリストの追加/編集 114
AnyConnectプロファイルエディタのモバイル設定 116
NVMプロファイルエディタ 119
AnyConnectローカルポリシー 124
ローカルポリシーパラメータと値 124
ローカルポリシーパラメータの手動変更 128
MSTファイルでのローカルポリシーパラメータの有効化 129
Enable FIPSツールによるローカルポリシーパラメータの有効化 129
VPNアクセスの設定 131第 4 章
VPNへの接続と接続解除 131
AnyConnect VPN接続オプション 131
VPN接続サーバの設定 133
ログイン前のWindows VPN接続の自動開始 135
Start Before Logonについて 135
Start Before Logonの制限 136
Start Before Logonの設定 136
Start Before Logonのトラブルシューティング 138
AnyConnect起動時の VPN接続の自動開始 139
Windowsシステムにおける Start Before Logon(PLAP)の設定 139
VPN接続の自動リスタート 139
Trusted Network Detectionを使用した接続または接続解除 140
Trusted Network Detectionについて 140
Trusted Network Detectionのガイドライン 141
Trusted Network Detectionの設定 141
Always-Onを使用した VPN接続の必要性 144
Always-On VPNについて 144
Always-On VPNの制限事項 145
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドvii
目次
Always-On VPNのガイドライン 145
Always-On VPNの設定 146
AnyConnect VPNクライアントプロファイルでのAlways-Onの設定 146
サーバリストへのロードバランシングバックアップクラスタメンバーの追加 146
常時接続 VPNからのユーザの除外 147
常時接続の接続障害ポリシーの設定 148
キャプティブポータルホットスポットの検出と修復の使用 150
キャプティブポータルについて 150
キャプティブポータル修復の設定 151
キャプティブポータルの修復の強化(Windowsのみ) 152
キャプティブポータルの修復の設定ブラウザのフェールオーバー 152
キャプティブポータルの検出と修復のトラブルシューティング 153
AnyConnect over L2TPまたは PPTPの設定 154
管理 VPNトンネルの使用 155
管理 VPNトンネルについて 155
管理 VPNトンネルの設定 158
管理 VPNトンネルのトンネルグループの設定 158
管理 VPNトンネルのプロファイルの作成 159
(オプション)すでに設定済みの管理 VPNプロファイルをアップロードする 159
グループポリシーへの管理 VPNプロファイルの関連付け 160
Tunnel-All設定をサポートするカスタム属性の設定 161
管理 VPNプロファイルの更新の制限 161
管理 VPNトンネル接続問題のトラブルシューティング 161
AnyConnectプロキシ接続の設定 163
AnyConnectプロキシ接続について 163
AnyConnectプロキシ接続の要件 164
プロキシ接続の制限 165
ローカルプロキシ接続の許可 165
パブリックプロキシ 165
パブリックプロキシ接続の設定(Windows) 165
パブリックプロキシ接続の設定(macOS) 166
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドviii
目次
パブリックプロキシ接続の設定(Linux) 166
プライベートプロキシ接続の設定 166
ブラウザのプロキシ設定を無視するためのクライアントの設定 166
Internet Explorerの [接続(Connections)]タブのロックダウン 167
プロキシ設定の確認 168
VPNトラフィックの選択および除外 168
VPNをバイパスするための IPv4または IPv6トラフィックの設定 168
ローカルプリンタおよびテザーデバイスをサポートしたクライアントファイアウォール
の設定 169
スプリットトンネリングの設定 169
ダイナミックスプリットトンネリングについて 170
スタティックスプリットトンネリングとダイナミックスプリットトンネリングの相互
運用性 171
スプリットトンネリング設定をともなう重複シナリオの結果 172
ダイナミックスプリットトンネリングの使用状況の通知 172
スプリット DNS 173
スプリット DNSの要件 173
スプリット DNSの設定 173
AnyConnectログを使用したスプリット DNSの確認 174
スプリット DNSを使用しているドメインの確認 174
VPN認証の管理 175
重要なセキュリティ上の考慮事項 175
サーバ証明書処理の設定 175
サーバ証明書の確認 175
無効なサーバ証明書の処理 176
Certificate-Only認証の設定 179
証明書登録の設定 180
SCEPプロキシの登録と動作 180
認証局の要件 181
証明書登録のガイドライン 181
SCEPプロキシ証明書登録の設定 182
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドix
目次
SCEP用のWindows 2008 Serverの認証局の設定 183
証明書失効通知の設定 185
証明書選択の設定 185
使用する証明書ストアの設定 186
Windowsユーザに認証証明書の選択を求めるプロンプトの表示 189
macOSおよび Linuxでの PEM証明書ストアの作成 189
証明書照合の設定 190
SAMLを使用した VPN認証 193
SDIトークン(SoftID)統合を使用した VPN認証 195
SDI認証交換のカテゴリ 197
ネイティブ SDIと RADIUS SDIの比較 199
RADIUS/SDIメッセージをサポートするための ASAの設定 200
証明書のピン留めについて 202
グローバルピンとホストごとのピン 203
ネットワークアクセスマネージャの設定 205第 5 章
ネットワークアクセスマネージャについて 205
Suite Bおよび FIPS 207
シングルサインオンの「シングルユーザ」の適用 207
シングルサインオンのシングルユーザの適用の設定 208
ネットワークアクセスマネージャの展開 208
DHCP接続テストの無効化 210
ネットワークアクセスマネージャプロファイル 210
クライアントポリシーウィンドウ 210
認証ポリシーウィンドウ 213
[ネットワーク(Networks)]ウィンドウ 214
ネットワーク、メディアタイプページ 215
ネットワーク、セキュリティレベルページ 217
認証ネットワークの設定 217
オープンネットワークの設定 220
共有キーネットワークの設定 220
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドx
目次
[ネットワーク、ネットワーク接続タイプペイン 221
ネットワーク、ユーザまたはマシンの認証ページ 223
EAPの概要 223
EAP-GTC 224
EAP-TLS 224
EAP-TTLS 225
PEAPオプション 227
EAP-FAST設定 229
LEAP設定 231
ネットワーククレデンシャルの定義 231
ネットワークグループウィンドウ 238
ポスチャの設定 241第 6 章
ISEポスチャモジュールの提供内容 242
ポスチャチェック 242
必要な修復 242
エンドポイントコンプライアンスの再評価 244
シスコテンポラルエージェント 246
オプションモードのポスチャポリシー拡張機能 247
ハードウェアインベントリの可視性 247
ステルスモード 248
ポスチャポリシーの適用 248
UDID統合 249
アプリケーション監視 249
USBストレージデバイス検出 249
自動コンプライアンス 250
VLANのモニタリングと遷移 250
AnyConnect ISEフローを中断する操作 251
ISEポスチャのステータス 252
ポスチャとマルチホーミング 254
エンドポイントの同時ユーザ 254
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドxi
目次
ポスチャモジュールのロギング 255
ポスチャモジュールのログファイルと場所 255
ISEポスチャプロファイルエディタ 256
詳細パネル 259
VPNポスチャ(HostScan)モジュールの提供内容 259
HostScan 259
基本的機能 260
エンドポイントアセスメント 260
Advanced Endpoint Assessment:マルウェア対策およびファイアウォールの修復 261
HostScan用のアンチマルウェアアプリケーションの設定 261
ダイナミックアクセスポリシーとの統合 262
DAPの BIOSシリアル番号 262
DAPエンドポイント属性としての BIOSの指定 262
BIOSシリアル番号の取得方法 263
ASAで有効にされたホストスキャンイメージの判別 263
HostScanのアップグレード 263
OPSWATサポート 263
Webセキュリティの設定 267第 7 章
Webセキュリティモジュールについて 267
一般的なWebセキュリティの設定 268
クライアントプロファイルでの Cisco Cloud Web Securityスキャニングプロキシ 268
ユーザがスキャニングプロキシを選択する方法 269
スキャニングプロキシリストの更新 270
ユーザに対するスキャニングプロキシの表示または非表示 270
デフォルトのスキャニングプロキシの選択 272
HTTP(S)トラフィックリスニングポートの指定 272
パブリックプロキシを設定するためのWindowsインターネットオプションの設定 273
Webスキャニングサービスでのエンドポイントトラフィックの除外または包含 274
ホスト例外の除外と包含 275
プロキシ例外の除外 276
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドxii
目次
静的な例外の除外 277
ユーザ制御の設定および最も早いスキャニングプロキシ応答時間の計算 278
Secure Trusted Network Detectionの使用 280
Secure Trusted Network Detectionの不使用 281
認証の設定および Cisco Cloud Web Securityプロキシへのグループメンバーシップの送信282
Webセキュリティの詳細設定 284
KDFリスニングポートの設定 284
ポートが着信接続を受信する方法の設定 285
タイムアウトと再試行が発生するタイミングの設定 286
DNSルックアップ 286
デバッグの設定 287
トラフィックのブロックと許可 287
他のカスタマイズ可能なWebセキュリティオプション 287
エクスポートオプション 287
Webセキュリティのためのスプリットトンネル除外の設定 289
Cisco Cloud Web Securityホステッドプロファイルの使用 290
Cisco AnyConnect Webセキュリティエージェントの無効化および有効化 292
Windowsを使用したフィルタの無効化と有効化 292
Mac OS Xを使用したフィルタの無効化と有効化 292
Webセキュリティロギング 293
AMPイネーブラの設定 295第 8 章
AMPイネーブラについて 295
AMPイネーブラの導入 295
AMPイネーブラプロファイルエディタ 296
AMPイネーブラのステータス 297
ネットワーク可視性モジュール 299第 9 章
ネットワーク可視性モジュールについて 299
デスクトップ AnyConnectでの NVM 300
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドxiii
目次
スタンドアロン NVM 301
展開モード 301
モバイル AnyConnectでの NVM 302
NVMの使用方法 302
NVMプロファイルエディタ 302
フローフィルタについて 308
カスタマーフィードバックモジュールによる NVMステータスの提供 309
Umbrellaローミングセキュリティ 311第 1 0 章
AnyConnect for Android OS用の Umbrellaモジュール 311
Android OSで AnyConnectの Umbrellaモジュールを展開するための前提条件 312
Android Windowsまたは OS用の AnyConnect Umbrellaモジュール 313
UmbrellaローミングクライアントとUmbrellaローミングセキュリティモジュールの非互
換性 313
Cisco Umbrellaアカウントの取得 313
ダッシュボードからの OrgInfoファイルのダウンロード 313
Umbrellaローミングセキュリティの起動と実行 314
OrgInfo.jsonファイルの設定 314
クラウド最新情報 315
セキュリティポリシーの設定とレポートの確認 316
エンドポイントに表示される UIの変更内容解説 316
診断の解釈 322
AnyConnect UmbrellaセキュアWebゲートウェイモジュール 322
SWGの制限事項 323
Umbrella SWGのインストールおよびアップグレード 323
Umbrella SWGのログファイルとメッセージ 323
ローミングセキュリティタイルのステータス 324
Umbrella SWGのトラブルシューティング 324
ローカルポリシーでの FIPSの有効化 325第 1 1 章
FIPS、NGE、および AnyConnectについて 325
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドxiv
目次
AnyConnectの FIPS機能 326
AnyConnect FIPSの要件 327
AnyConnect FIPSの制限事項 327
AnyConnect FIPSのガイドライン 327
AnyConnectコア VPNクライアントのための FIPSの設定 329
AnyConnectコア VPNのための FIPSの有効化 329
Windowsインストール時の FIPSの有効化 329
ネットワークアクセスマネージャのための FIPSの設定 330
ネットワークアクセスマネージャのための FIPSの有効化 330
ネットワークアクセスマネージャに対する FIPSモードの適用 331
モバイルデバイスの AnyConnect 333第 1 2 章
モバイルデバイスでの AnyConnectの動作およびオプション 333
AnyConnect Mobile VPN接続について 333
モバイルデバイスでの AnyConnect VPN接続エントリ 334
トンネリングモード 334
モバイルデバイスでのセキュアゲートウェイ認証 335
モバイルデバイスでのクライアント認証 337
SAMLを使用した VPN認証 338
モバイルデバイスでのローカリゼーション 340
適応型セキュリティアプライアンスへの変換テーブルのインポート 342
モバイルデバイスでの FIPSおよび Suite B暗号化 342
Androidデバイスの AnyConnect 343
Androidでの AnyConnectの注意事項と制約事項 343
Android固有の考慮事項 344
Androidモバイルポスチャデバイスの ID生成 344
Androidデバイスのアクセス許可 345
Apple iOSデバイスの AnyConnect 345
Apple iOSでの AnyConnectの注意事項と制約事項 346
Apple iOS固有の注意事項 348
Chrome OSデバイスでの AnyConnect 351
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドxv
目次
Chrome OSでの AnyConnectの注意事項と制約事項 351
Windows Phoneデバイスの AnyConnect 352
Windows Phone 10およびWindows Phone 8.1での AnyConnectの注意事項と制約事項 352
ASAセキュアゲートウェイでのモバイルデバイスの VPN接続の設定 353
アプリケーション単位 VPNの設定 355
Cisco AnyConnect企業アプリケーションセレクタツールのインストール 356
トンネル内で許可する必要のあるアプリケーションの決定 357
モバイルアプリのアプリケーション IDの決定 357
Androidデバイスでのアプリケーションごとの VPNポリシーの定義 358
Apple iOSデバイスのアプリケーション単位 VPNポリシーの定義 360
アプリケーション単位カスタム属性の作成 360
ASAのポリシーへのカスタム属性の割り当て 361
AnyConnect VPNプロファイルでのモバイルデバイス接続の設定 362
URIハンドラを使用した AnyConnectアクションの自動化 364
VPN接続エントリの生成 365
VPN接続の確立 368
VPNからの接続解除 371
証明書のインポート 371
VPNクライアントプロファイルのインポート 372
AnyConnect UIとメッセージのローカライズ 372
モバイルデバイスでの AnyConnectのトラブルシューティング 373
Cisco AnyConnectカスタマーエクスペリエンスフィードバックモジュール 375第 1 3 章
カスタマーエクスペリエンスフィードバックの設定 376
AnyConnectのトラブルシューティング 377第 1 4 章
トラブルシューティングに必要な情報の収集 377
統計詳細情報の表示 377
トラブルシューティング用にデータを収集するための DARTの実行 378
DARTで UDIDを公開する 379
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドxvi
目次
インストールまたはアンインストールの問題についてデータを収集するためのログの収集
(Windows) 380
コンピュータシステム情報の取得 380
systeminfoファイルダンプの取得 380
レジストリファイルの確認 380
AnyConnectログファイルの場所 381
DARTを実行してトラブルシューティングデータをクリアする 381
AnyConnect接続または接続解除の問題 382
AnyConnectが初期接続を確立しないか、接続解除しない 382
AnyConnectがトラフィックを通過させない 384
VPNサービスの障害 385
VPNサービス接続に失敗 385
何がサービスと競合しているかの特定 386
VPNクライアントドライバで(Microsoft Windowsアップデート後に)エラーが発生する387
VPNクライアントドライバエラーの修復 387
ドライバのクラッシュ 387
VPNVA.sysでのドライバクラッシュの修復 387
vpnagent.exeでのドライバクラッシュの修復 388
ネットワークアクセスマネージャに関するリンク/ドライバの問題 388
その他のクラッシュ 388
AnyConnectのクラッシュ 388
.logファイルまたは .dmpファイルのバックアップ方法 389
AnyConnectが vpndownloaderでクラッシュする(Layered Service Provider(LSP)モジュー
ルおよび NOD32 AV) 389
ブルースクリーン(AT & T Dialer) 389
セキュリティの警告 390
Microsoft Internet Explorerのセキュリティの警告 390
「不明な機関による認証」アラート 390
クライアントでの信頼できるルート証明書のインストール 390
接続のドロップ 391
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドxvii
目次
有線接続が導入された場合のワイヤレス接続のドロップ(Juniper Odysseyクライアント)391
Odysseyクライアントの設定 391
ASAへの接続に失敗(Kaspersky AV Workstation 6.x) 392
UDP DTLS接続なし(McAfee Firewall 5) 392
ホストデバイスへの接続に失敗(Microsoftルーティングとリモートアクセスサーバ)392
接続障害/クレデンシャル不足(ロードバランサ) 392
インストールの失敗 393
AnyConnectがダウンロードに失敗する(Wave EMBASSY Trust Suite) 393
非互換性の問題 393
ルーティングテーブルの更新に失敗(Bonjour Printing Service) 393
TUNのバージョンに互換性がない(OpenVPNクライアント) 393
Winsockカタログの競合(LSP症状 2競合) 393
データスループット低下(LSP症状 3競合) 393
SSLプロトコルスキャンの無効化 394
DPD障害(EVDOワイヤレスカードおよび Venturiドライバ) 394
DTLSトラフィック障害(DSLルータ) 394
NETINTERFACE_ERROR(CheckPointと、Kasperskyなどの他のサードパーティ製ソフト
ウェア) 395
パフォーマンスの問題(Virtual Machine Network Serviceドライバ) 395
既知のサードパーティ製アプリケーション競合 395
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドxviii
目次
第 1 章AnyConnectの展開
•展開前の作業(1ページ)• AnyConnect展開の概要(2ページ)• AnyConnectのためのエンドポイントの準備(5ページ)• Linux上での NVMの使用(10ページ)• AnyConnectの事前展開(11ページ)• Web展開 AnyConnect(28ページ)• AnyConnectソフトウェアおよびプロファイルの更新(38ページ)
展開前の作業Umbrellaローミングセキュリティモジュールを展開している場合は、Umbrellaローミングクライアントのすべての既存のインストールが検出され、競合を防ぐために自動的に削除されま
す。Umbrellaローミングクライアントの既存インストールを Umbrellaサービスサブスクリプションに関連付けている場合は、OrgInfo.jsonファイルをAnyConnectインストーラと同じ場所に配置して UmbrellaモジュールのディレクトリでWeb展開または事前展開を設定していない限り、Umbrellaローミングセキュリティモジュールに自動的に移行されます。Umbrellaローミングセキュリティモジュールを展開する前に、手動でUmbrellaローミングクライアントをアンインストールすることができます。
Umbrellaローミングセキュリティモジュールを使用している場合は、次の前提条件も満たす必要があります。
• Umbrellaローミングアカウントを取得する。Umbrellaダッシュボード(http://dashboard.umbrella.com)は、AnyConnect Umbrellaローミングセキュリティモジュールの操作に必要な情報を取得するログインページです。ローミングクライアントアクティ
ビティのレポートを制御するためにもこのサイトを使用します。
•ダッシュボードから OrgInfoファイルをダウンロードする。AnyConnect Umbrellaローミングセキュリティモジュールの導入準備を行うには、UmbrellaダッシュボードからOrgInfo.jsonファイルを取得します。[ID(Identities)]メニューストラクチャで [ローミングコンピュータ(Roaming Computers)]をクリックし、続いて、ページ左上隅の [+]記号をクリックします。AnyConnect Umbrellaローミングセキュリティモジュールまでスクロールし、[モジュールプロファイル(Module Profile)]をクリックします。
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド1
http://dashboard.umbrella.com
OrgInfo.jsonファイルには、ローミングセキュリティモジュールにレポートの送信先と適用するポリシーを知らせる、Umbrellaサービスサブスクリプションについての詳細が含まれています。
AnyConnect展開の概要AnyConnectの展開は、AnyConnectクライアントと関連ファイルのインストール、設定、アップグレードを意味します。
Cisco AnyConnect Secure Mobility Clientは、次の方法によってリモートユーザに展開できます。
•事前展開:新規インストールとアップグレードは、エンドユーザによって、または社内のソフトウェア管理システム(SMS)を使用して実行されます。
• Web展開:AnyConnectパッケージは、ヘッドエンド(ASAもしくは FTDファイアウォール、または ISEサーバ)にロードされます。ユーザがファイアウォールまたは ISEに接続すると、AnyConnectがクライアントに展開されます。
•新規インストールの場合、ユーザはヘッドエンドに接続して AnyConnectクライアントをダウンロードします。クライアントは、手動でインストールするか、または自動
(Web起動)でインストールされます。
•アップデートは、AnyConnectがすでにインストールされているシステムでAnyConnectを実行することにより、またはユーザを ASAクライアントレスポータルに誘導することによって行われます。
•クラウド更新:Umbrellaローミングセキュリティモジュールの展開後に、上記およびクラウド更新のいずれかの方法を使用して AnyConnectモジュールを更新できます。クラウド更新では、ソフトウェアアップグレードは Umbrellaクラウドインフラストラクチャから自動的に得られます。更新トラックは管理者のアクションではなくこれによって決まり
ます。デフォルトでは、クラウド更新からの自動更新は無効です。
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド2
AnyConnectの展開
AnyConnect展開の概要
クラウド更新に関して以下を検討してください。
•現在インストールされているソフトウェアモジュールのみが更新されます。
•カスタマイズ、ローカリゼーション、およびその他の展開タイプはサポートされません。
•更新は、デスクトップにログインしたときにのみ実行され、VPNが確立されているときは実行されません。
•更新を無効にすると、最新のソフトウェア機能と更新を利用できません。
•クラウド更新を無効にしても、他の更新メカニズムや設定(Web展開、遅延更新など)には影響しません。
•クラウド更新は、AnyConnectのより新しいバージョンや未公開バージョン(暫定リリース、修繕公開されたバージョンな
ど)があっても無視します。
(注)
AnyConnectを展開する場合に、追加機能を含めるオプションのモジュール、および VPNやオプション機能を設定するクライアントプロファイルを含めることができます。
ASA、IOS、Microsoft Windows、Linux、および macOSのシステム、管理、およびエンドポイントの要件については、AnyConnectのリリースノートを参照してください。
一部のサードパーティのアプリケーションおよびオペレーティングシステムにより、ISEポスチャエージェントおよびその他のプロセスによる必要なファイルアクセスおよび権限昇格が制
限される場合があります。AnyConnectインストールディレクトリ(Windowsの場合はC:\ProgramFiles (x86)\CiscoまたはmacOSの場合は /opt/cisco)がエンドポイントのウイルス対策、マルウェア対策、スパイウェア対策、データ漏洩防止、権限マネージャ、またはグループポリシーオブ
ジェクトの許可/除外/信頼リストで信頼されていることを確認します。
(注)
AnyConnectのインストール方法の決定
AnyConnectは、ISE 2.0(またはそれ以降)およびASAヘッドエンドによるWeb展開または事前展開が可能です。AnyConnectをインストールするには、最初に管理者権限が必要です。
Web展開
AnyConnectをアップグレードする、または(ASA/ISE/Umbrellaクラウドとダウンローダーからの)Web展開を使用して追加のモジュールをインストールするには、管理者権限は必要ありません。
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド3
AnyConnectの展開
AnyConnect展開の概要
http://www.cisco.com/c/en/us/support/security/anyconnect-secure-mobility-client/products-release-notes-list.html
• ASAまたは FTDデバイスからのWeb展開:ユーザは、ヘッドエンドデバイス上のAnyConnectクライアントレスポータルに接続して、AnyConnectのダウンロードを選択します。ASAは、AnyConnectダウンローダをダウンロードします。AnyConnectダウンローダがクライアントをダウンロードし、クライアントをインストールし、VPN接続を開始します。
• ISEからのWeb展開:ユーザは、ASA、ワイヤレスコントローラ、またはスイッチなどのネットワークアクセスデバイス(NAD)に接続します。NADはユーザを許可し、ISEポータルにユーザをリダイレクトします。AnyConnectダウンローダがクライアントにインストールされ、パッケージの抽出およびインストールを管理します。ただし、VPN接続は開始しません。
事前展開
AnyConnectをアップグレードするか、事前展開(手動または SCCMを使用した帯域外展開)を使用して追加のモジュールをインストールするには、管理者権限が必要です。
•社内のソフトウェア管理システム(SMS)を使用します。
• AnyConnectファイルのアーカイブを手動で配布し、インストール方法に関する指示をユーザに提供します。ファイルのアーカイブ形式は、zip(Windows)、DMG(Mac OS X)、gzip(Linux)です。
システム要件およびライセンスの依存関係の詳細については、『AnyConnect Secure MobilityClient Features, License, and OS Guide』を参照してください。
MacまたはLinuxプラットフォームでルート権限のアクティビティを実行するためにAnyConnectポスチャ(HostScan)を使用している場合は、AnyConnectポスチャを事前展開することを推奨します。
(注)
AnyConnectのインストールに必要なリソースの決定
AnyConnect展開は、複数の種類のファイルで構成されています。
• AnyConnectコアクライアント。AnyConnectパッケージに含まれています。
•追加機能をサポートするモジュール。AnyConnectパッケージに含まれています。
• AnyConnectおよび追加機能を設定するクライアントプロファイル。自分で作成します。
•言語ファイル、画像、スクリプト、およびヘルプファイル(展開をカスタマイズまたはローカライズする場合)。
• AnyConnect ISEポスチャおよびコンプライアンスモジュール(OPSWAT)。
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド4
AnyConnectの展開
AnyConnect展開の概要
http://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect44/feature/guide/anyconnect44features.htmlhttp://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect44/feature/guide/anyconnect44features.html
AnyConnectのためのエンドポイントの準備
AnyConnectとモバイルブロードバンドカードの使用方法一部の 3Gカードには、AnyConnectを使用する前に必要な設定手順があります。たとえば、VZAccess Managerには次の 3種類の設定があります。
•モデム手動接続(modem manually connects)
•ローミング時を除くモデム自動接続(modem auto connect except when roaming)
• LANアダプタ自動接続(LAN adapter auto connect)
[LANアダプタ自動接続(LAN adapter auto connect)]を選択した場合は、プリファレンスをNDISモードに設定します。NDISは、VZAccess Managerが終了されても接続を続行できる、常時接続です。VZAccess Managerでは、AnyConnectをインストールする準備が整うと、自動接続 LANアダプタをデバイス接続のプリファレンスとして表示します。AnyConnectインターフェイスが検出されると、3Gマネージャはインターフェイスをドロップし、AnyConnect接続を許可します。
優先順位の高い接続に移動する場合(有線ネットワークが最も優先順位が高く、次にWiFi、モバイルブロードバンドの順になります)、AnyConnectは、古い切断を解除する前に新しい接続を確立します。
Windowsでの Internet Explorer信頼済みサイトのリストへの ASAの追加
Active Directory管理者が Internet Explorerの信頼済みサイトのリストに ASAを追加するには、グループポリシーを使用できます。この手順は、ローカルユーザが Internet Explorerの信頼済みサイトに追加する方法とは異なります。
手順
ステップ 1 Windowsドメインサーバで、ドメイン管理者グループのメンバーとしてログインします。
ステップ 2 [Active Directoryユーザとコンピュータ(Active Directory Users and Computers)] MMCスナップインを開きます。
ステップ 3 グループポリシーオブジェクトを作成するドメインまたは組織ユニットを右クリックして、[プロパティ(Properties)]をクリックします。
ステップ 4 [グループポリシー(Group Policy)]タブを選択して、[新規(New)]をクリックします。
ステップ 5 新しいグループポリシーオブジェクトの名前を入力して、Enterを押します。
ステップ 6 一部のユーザまたはグループにこの新しいポリシーが適用されないようにするには、[プロパティ(Properties)]をクリックします。[セキュリティ(Security)]タブを選択します。このポ
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド5
AnyConnectの展開
AnyConnectのためのエンドポイントの準備
リシーを適用しないユーザまたはグループを追加し、[許可(Allow)]カラムの [読み取り(Read)]チェックボックスと [グループポリシーの適用(Apply Group Policy)]チェックボックスをオフにします。[OK]をクリック
ステップ 7 [編集(Edit)]をクリックし、[ユーザの構成(User Configuration)] > [Windowsの設定(WindowsSettings)] > [Internet Explorerメンテナンス(Internet Explorer Maintenance)] > [セキュリティ(Security)] > > > を選択します。
ステップ 8 右側のペインで [セキュリティゾーンおよびコンテンツの規則(Security Zones and ContentRatings)]を右クリックし、[プロパティ(Properties)]をクリックします。
ステップ 9 [現行のセキュリティゾーンとプライバシーの設定をインポートする(Import the current securityzones and privacy settings)]を選択します。プロンプトが表示されたら、[続行(Continue)]をクリックします。
ステップ 10 [設定の変更(Modify Settings)]をクリックし、[信頼されたサイト(Trusted Sites)]を選択して、[サイト(Sites)]をクリックします。
ステップ 11 信頼済みサイトのリストに追加するセキュリティアプライアンスの URLを入力し、[追加(Add)]をクリックします。形式は、ホスト名(https://vpn.mycompany.com)または IPアドレス (https://192.168.1.100)を含めることができます。完全一致 (https://vpn.mycompany.com)またはワイルドカード (https://*.mycompany.com)でも構いません。
ステップ 12 [閉じる(Close)]をクリックし、すべてのダイアログボックスが閉じるまで [OK]をクリックします。
ステップ 13 ドメインまたはフォレスト全体にポリシーが伝搬されるまで待ちます。
ステップ 14 [インターネットオプション(Internet Options)]ウィンドウで [OK]をクリックします。
Internet Explorerでのプロキシ変更のブロックある条件下では、AnyConnectによって Internet Explorerの [ツール(Tools)] > [インターネットオプション(Internet Options)] > [接続(Connections)]タブが非表示にされます(ロックされます)。このタブが表示されている場合、ユーザはプロキシ情報を設定できます。このタブ
を非表示にすると、ユーザが意図的または偶発的にトンネルを迂回することを防止できます。
タブのロックダウン設定は、接続を解除するときに反転します。タブのロックダウンは、その
タブに適用されている管理者定義のポリシーによって上書きされます。ロックダウンは、次の
場合に適用されます。
• ASAの設定で、[接続(Connections)]タブのロックダウンが指定されている
• ASAの設定で、プライベート側プロキシが指定されている
• Windowsのグループポリシーにより、以前に [接続(Connections)]タブがロックされている(no lockdown ASAグループポリシー設定の上書き)
Windows 10バージョン 1703(またはそれ以降)では、AnyConnectは、Internet Explorerの [接続(Connections)]タブを非表示にすることに加えて、設定アプリのシステムプロキシタブも非表示に(ロックダウン)し、ユーザが意図的または偶発的にトンネルを迂回しないようにし
ます。このロックダウンは、接続を解除するときに反転します。
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド6
AnyConnectの展開
Internet Explorerでのプロキシ変更のブロック
手順
ステップ 1 ASDMで、[設定(Configuration)] > [リモートアクセスVPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [グループポリシー(GroupPolicies)]に移動します。
ステップ 2 グループポリシーを選択し、新しいグループポリシーの [編集(Edit)]または [追加(Add)]をクリックします。
ステップ 3 ナビゲーションペインで、[詳細(Advanced)] > [ブラウザプロキシ(Browser Proxy)] > に移動します。[プロキシサーバポリシー(Proxy Server Policy)]ペインが表示されます。
ステップ 4 [プロキシロックダウン(Proxy Lockdown)]をクリックして、その他のプロキシ設定を表示します。
ステップ 5 [継承(Inherit)]をオフにし、次のいずれかを選択します。
• [はい(Yes)]を選択して、AnyConnectセッションの間、プロキシのロックダウンを有効にし、Internet Explorerの [接続(Connections)]タブを非表示にします。
• [いいえ(No)]を選択して、AnyConnectセッションの間、プロキシのロックダウンを無効にし、Internet Explorerの [接続(Connections)]タブを公開します。
ステップ 6 [OK]をクリックして、プロキシサーバポリシーの変更を保存します。
ステップ 7 [適用(Apply)]をクリックして、グループポリシーの変更を保存します。
AnyConnectによるWindows RDPセッションの処理方法の設定AnyConnectは、Windows RDPセッションからのVPN接続を許可するように設定できます。デフォルトでは、RDPによってコンピュータに接続されているユーザは、Cisco AnyConnect SecureMobility Clientとの VPN接続を開始できません。次の表に、RDPセッションからの VPN接続のログインとログアウトのオプションを示します。これらのオプションは、VPNクライアントプロファイルで設定されます。
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド7
AnyConnectの展開
AnyConnectによるWindows RDPセッションの処理方法の設定
SBLモードで使用での使用可否
値設定名
○• [シングルローカルログイン(Single Local Logon)](デフォルト):VPN接続全体で、ログインできるローカルユーザは 1人だけです。また、クライアント PCに複数のリモートユーザがログインしている場合でも、ローカルユーザが VPN接続を確立することはできます。この設定は、VPN接続を介した企業ネットワークからのリモートユーザログインに対しては影響を与えま
せん。
VPN接続が排他的トンネリング用に設定されている場合、VPN接続用のクライアントPCのルーティングテーブルが変更されるため、リモートログインは接続解除
されます。VPN接続がスプリットトンネリング用に設定されている場合、リモートログインが接続解除され
るかどうかは、VPN接続のルーティング設定によって異なります。
(注)
• [シングルログイン(Single Logon)]:VPN接続全体で、ログインできるユーザは1人だけです。VPN接続の確立時に、ローカルまたはリモートで複数のユーザがログインしている場合、接続は
許可されません。VPN接続中にローカルまたはリモートで第2のユーザがログインすると、VPN接続が終了します。VPN接続中の追加のログインは許可されません。そのため、VPN接続によるリモートログインは行えません。
複数同時ログオンはサポートされません。(注)
ו [ローカルユーザのみ(Local Users Only)](デフォルト):リモートログインしたユーザは、VPN接続を確立できません。これは、以前のバージョンの AnyConnectと同じ機能です。
• [リモートユーザを許可(Allow Remote Users)]:リモートユーザは VPN接続を確立できます。ただし、設定された VPN接続ルーティングによってリモートユーザが接続解除された場合は、リ
モートユーザがクライアント PCに再アクセスできるように、VPN接続が終了します。リモートユーザが VPN接続を終了せずにリモートログインセッションを接続解除するには、VPNを確立した後、90秒間待つ必要があります。
その他のVPNセッションの接続オプションについては、「AnyConnect VPN接続オプション」を参照してください。
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド8
AnyConnectの展開
AnyConnectによるWindows RDPセッションの処理方法の設定
AnyConnectによる Linux SSHセッションの処理方法の設定AnyConnectは、Linux SSHセッションからのVPN接続を許可するように設定できます。デフォルトでは、SSHによってコンピュータに接続されているユーザは、Cisco AnyConnect SecureMobility Clientとの VPN接続を開始できません。次の表に、SSHセッションからの VPN接続のログインとログアウトのオプションを示します。これらのオプションは、VPNクライアントプロファイルで設定されます。
Linuxログイン適用:[シングルローカルログイン(Single Local Logon)](デフォルト):VPN接続全体で、ログインできるローカルユーザは 1人だけです。また、クライアント PCに複数のリモートユーザがログインしている場合でも、ローカルユーザがVPN接続を確立することはできます。この設定は、VPN接続を介した企業ネットワークからのリモートユーザログインに対しては影響を与えません。
VPN接続が排他的トンネリング用に設定されている場合、VPN接続用のクライアント PCのルーティングテーブルが変更されるため、リモートログインは接続解除されます。VPN接続がスプリットトンネリング用に設定されている場合、リモートログインが接続解除されるか
どうかは、VPN接続のルーティング設定によって異なります。
(注)
[シングルログイン(Single Logon)]:VPN接続全体で、ログインできるユーザは 1人だけです。VPN接続の確立時に、(ローカルまたはリモートで)複数のユーザがログインしている場合、接続は許可されません。(ローカルまたはリモートで)VPN接続中に第2のユーザがログインすると、VPN接続が終了します。VPN接続中の追加のログインは許可されません。そのため、VPN接続によるリモートログインは行えません。
Linux VPNの確立:
• [ローカルユーザのみ(Local Users Only)](デフォルト):リモートログインしたユーザは、VPN接続を確立できません。
• [リモートユーザを許可(Allow Remote Users)]:リモートユーザは VPN接続を確立できます。
その他のVPNセッションの接続オプションについては、「AnyConnect VPN接続オプション」を参照してください。
Windowsでの DES-only SSL暗号化デフォルトでは、WindowsはDES SSL暗号化をサポートしません。ASAにDES-onlyを設定した場合、AnyConnect接続は失敗します。これらのオペレーティングシステムのDES対応設定は難しいため、ASAには、DES-only SSL暗号化を設定しないことをお勧めします。
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド9
AnyConnectの展開
AnyConnectによる Linux SSHセッションの処理方法の設定
Linux上での NVMの使用NVMを Linux上で使用する場合は、事前にカーネルドライバフレームワーク(KDF)をセットアップする必要があります。AnyConnectカーネルモジュールを事前構築するか、ターゲット上にドライバを構築するか、選択できます。ターゲット上に構築する場合、アクションは不
要です。構築は、展開時またはリブート時に自動的に処理されます。
AnyConnectカーネルモジュールを構築するための必要条件ターゲットデバイスを準備します。
• GNU Make Utilityがインストールされていることを確認します。
•次のカーネルヘッダーパッケージをインストールします。
• RHELの場合は、kernel-devel-2.6.32-642.13.1.el6.x86_64などのパッケージkernel-devel-$(uname -r)をインストールします。
• Ubuntuの場合は、linux-headers-4.2.0-27-genericなどのパッケージ linux-headers-$(uname-r)をインストールします。
• GCCコンパイラがインストールされていることを確認します。インストールされた GCCコンパイラの major.minorバージョンが、カーネルの構築に使用されている GCCのバージョンと一致している必要があります。これは、/proc/versionファイルで確認できます。
NVMの構築済み AnyConnect Linuxカーネルモジュールとのパッケージ化
始める前に
「AnyConnectカーネルモジュールを構築するための必要条件(10ページ)」に記載されている前提条件を満たす必要があります。
NVMは、セキュアブートが有効になっているデバイスではサポートされません。(注)
AnyConnect NVMは、構築済みの AnyConnect Linuxカーネルモジュールとパッケージ化することができます。こうすると、特にターゲットデバイスの OSカーネルバージョンが同一である場合、すべてのターゲットデバイスに構築する必要がなくなります。事前構築の選択肢を
使用しない場合、構築は展開時またはリブート時に、管理者による入力がなくても自動的に実
行され、ターゲット上で使用できるようになります。また、展開がすべてのエンドポイントに
おけるカーネルの前提条件を満たしていない場合は、事前作成オプションを使用できます。
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド10
AnyConnectの展開
Linux上での NVMの使用
構築済み AnyConnect Linuxカーネルモジュールでは、Web展開はサポートされていません。(注)
手順
ステップ 1 AnyConnect事前展開パッケージ、anyconnect-linux64--predeploy-k9.tar.gzを解凍します。
ステップ 2 nvmディレクトリに移動します。
ステップ 3 次のスクリプトを呼び出します。$sudo ./build_and_package_ac_ko.sh
スクリプトを実行すると、構築済みの AnyConnect Linuxカーネルモジュールを含むanyconnect-linux64--ac_kdf_ko-k9.tar.gzが作成されます。セキュアブートが有効になっているシステムでは、セキュアブートによって許可された秘密キーを使用してモジュールに署
名します。このファイルは、事前展開にのみ使用することができます。
次のタスク
ターゲットデバイスのOSカーネルがアップグレードされたら、更新されたLinuxカーネルモジュールで AnyConnect NVMを再展開する必要があります。
AnyConnectの事前展開AnyConnectは、SMSを使用した手動による事前展開が可能です。この場合、エンドユーザがインストールできるファイルを配布するか、AnyConnectファイルアーカイブにユーザが接続できるようにします。
AnyConnectをインストールするためのファイルアーカイブを作成する場合、「AnyConnectプロファイルを事前展開する場所(14ページ)」で説明するように、アーカイブのディレクトリ構造が、クライアントにインストールされるファイルのディレクトリ構造と一致する必要が
あります。
始める前に
•手動で VPNプロファイルを展開している場合、ヘッドエンドにもプロファイルをアップロードする必要があります。クライアントシステムが接続する場合、クライアントのプロ
ファイルがヘッドエンドのプロファイルに一致することを AnyConnectが確認します。プロファイルのアップデートを無効にしており、ヘッドエンド上のプロファイルがクライア
ントと異なる場合、手動で展開したプロファイルは動作しません。
•手動で AnyConnect ISEポスチャプロファイルを展開する場合、ISEにもそのファイルをアップロードする必要があります。
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド11
AnyConnectの展開
AnyConnectの事前展開
•クローンされた VMを使用している場合は、「AnyConnectを使用した VMのクローンに関するガイドライン(Windowsのみ)(16ページ)」を参照してください。
手順
ステップ 1 AnyConnect事前展開パッケージをダウンロードします。
事前展開用の AnyConnectファイルは cisco.comで入手できます。
AnyConnect事前展開パッケージ名OS
anyconnect-win-version-predeploy-k9.zipWindows
anyconnect-macos-version-predeploy-k9.dmgmacOS
anyconnect-linux64-version-predeploy-k9.tar.gzLinux(64ビット)
Umbrellaローミングセキュリティモジュールは、Linuxオペレーティングシステムでは使用できません。
ステップ 2 クライアントプロファイルを作成します。一部のモジュールおよび機能にはクライアントプロファイルが必要です。
クライアントプロファイルを必要とするモジュールは次のとおりです。
• AnyConnect VPN
• AnyConnectネットワークアクセスマネージャ
• AnyConnect Webセキュリティ
• AnyConnect ISEポスチャ
• AnyConnect AMPイネーブラ
•ネットワーク可視性モジュール
• Umbrellaローミングセキュリティモジュール
AnyConnectクライアントプロファイルを必要としないモジュールは次のとおりです。
• AnyConnect VPN Start Before Logon
• AnyConnect Diagnostic and Reporting Tool
• AnyConnectポスチャ
• AnyConnectカスタマーエクスペリエンスフィードバック
ASDMでクライアントプロファイルを作成して、PCにこれらのファイルをコピーできます。または、Windows PC上のスタンドアロンプロファイルエディタを使用できます。Windows上
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド12
AnyConnectの展開
AnyConnectの事前展開
のスタンドアロンエディタの詳細については、「プロファイルエディタについて」を参照し
てください。
ステップ 3 任意で、「AnyConnectクライアントとインストーラのカスタマイズとローカライズ(51ページ)」を行います。
ステップ 4 配布用ファイルを準備します。ファイルのディレクトリ構造は、「AnyConnectプロファイルを事前展開する場所」で説明されています。
ステップ 5 AnyConnectインストール用ファイルをすべて作成したら、これらをアーカイブファイルで配布するか、クライアントにファイルをコピーできます。同じ AnyConnectファイルが、接続する予定のヘッドエンド、ASA、および ISEにも存在することを確認します。
事前展開とWeb展開向けの AnyConnectモジュール実行可能ファイル次の表に、Windowsコンピュータに Umbrellaローミングセキュリティモジュール、ネットワークアクセスマネージャ、AMPイネーブラ、ISEポスチャ、Webセキュリティ、およびネットワーク可視性モジュールの各クライアントを事前展開またはWeb展開する際のエンドポイントコンピュータ上のファイル名を示します。
表 1 : Web展開または事前展開のモジュールのファイル名
事前展開インストーラWeb展開インストーラ(ダウンロード)モジュール
anyconnect-win-version-nam-predeploy-k9.msianyconnect-win-version-nam-webdeploy-k9.msiネットワークアクセスマネージャ
anyconnect-win-version-websecurity-predeploy-k9.msianyconnect-win-version-websecurity-webdeploy-k9.exeWebセキュリティ
anyconnect-win-version-iseposture-predeploy-k9.msianyconnect-win-version-iseposture-webdeploy-k9.msiISEポスチャ
anyconnect-win-version-amp-predeploy-k9.exeanyconnect-win-version-amp-webdeploy-k9.msiAMPイネーブラ
anyconnect-win-version-nvm-predeploy-k9.msianyconnect-win-version-nvm-webdeploy-k9.exeネットワーク可視性モジュール
anyconnect-win-version-umbrella-predeploy-k9.msianyconnect-win-version-umbrella-webdeploy-k9.exeUmbrellaローミングセキュリティモジュール
AnyConnect 4.3(およびそれ以降)は Visual Studio 2015ビルド環境に移行しており、そのネットワークアクセスマネージャモジュールが機能するためには VS再頒布可能ファイルが必要です。これらのファイルは、インストールパッケージの一部としてインストールされます。.msiファイルを使用して、4.3(またはそれ以降)にネットワークアクセスマネージャモジュールをアップグレードできますが、最初にAnyConnect Secure Mobility Clientをアップグレードし、リリース 4.3(またはそれ以降)を実行する必要があります。
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド13
AnyConnectの展開
事前展開とWeb展開向けの AnyConnectモジュール実行可能ファイル
Windowsサーバ OSが存在する場合、AnyConnectネットワークアクセスマネージャをインストールするときに、インストールエラーが発生することがあります。WLANサービスはサーバのオペレーティングシステムにデフォルトではインストールされないため、このソフトウェ
アをインストールし、PCをリブートする必要があります。WLANAutoconfigサービスは、ネットワークアクセスマネージャがすべてのWindowsオペレーティングシステムで機能するための要件です。
(注)
AnyConnectプロファイルを事前展開する場所クライアントシステムにファイルをコピーする場合は、次の表に示す場所にファイルを配置す
る必要があります。
表 2 : AnyConnectコアファイル
説明ファイル
AnyConnectプロファイル。このファイルは、特定のユーザタイプに対して設定される機能および属性値を指定し
ます。
anyfilename.xml
XMLスキーマフォーマットを定義します。AnyConnectはこのファイルを使用して、プロファイルを検証します。
AnyConnectProfile.xsd
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド14
AnyConnectの展開
AnyConnectプロファイルを事前展開する場所
表 3 :すべてのオペレーティングシステムに対するプロファイルの場所
参照先モジュールオペレーティングシス
テム
%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\ProfileVPNを使用するコアクライアント
Windows
%ProgramData%\Cisco\ Cisco AnyConnect Secure Mobility Client\NetworkAccessManager\newConfigFiles
ネットワークアクセス
マネージャ
%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\WebSecurity
Webセキュリティ
%ProgramData%\Cisco\Cisco AnyConnect Secure MobilityClient\CustomerExperienceFeedback
カスタマーエクスペリ
エンスのフィードバッ
ク
%PROGRAMFILES%\Cisco\Cisco AnyConnect Secure Mobility Client\opswatOPSWAT
%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\ISE PostureISEポスチャ
%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\AMPEnabler
AMPイネーブラ
%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\NVMネットワーク可視性モジュール
%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Umbrella
Umbrellaローミングセキュリティモジュールを有効にするためには、Umbrellaダッシュボードから OrgInfo.jsonファイルをコピーして、名前を変更しないでこの対象ディレクトリ
に配置する必要があります。または、インストールする前に
ファイルを \Profiles\umbrellaに配置して、OrgInfo.jsonファイルと Umbrellaローミングセキュリティモジュールインストーラを同じ場所に置くこともできます。
(注)
Umbrellaローミングセキュリティモジュール
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド15
AnyConnectの展開
AnyConnectプロファイルを事前展開する場所
参照先モジュールオペレーティングシス
テム
/opt/cisco/anyconnect/profileその他のすべてのモジュール
macOS
/opt/cisco/anyconnect/CustomerExperienceFeedbackカスタマーエクスペリエンスのフィードバッ
ク
/opt/cisco/anyconnect/binバイナリ
/opt/cisco/anyconnect/lib/opswatOPSWAT
/opt/cisco/anyconnect/libライブラリ
/Applications/Cisco/Cisco AnyConnect Secure MobilityClient.app/Contents/Resources/
UIリソース
/opt/cisco/anyconnect/iseposture/ISEポスチャ
/opt/cisco/anyconnect/ampenabler/AMPイネーブラ
/opt/cisco/anyconnect/NVM/ネットワーク可視性モジュール
/opt/cisco/anyconnect/umbrella
Umbrellaローミングセキュリティモジュールを有効にするためには、Umbrellaダッシュボードから OrgInfo.jsonファイルをコピーして、名前を変更しないでこの対象ディレクトリ
に配置する必要があります。または、インストールする前に
ファイルを \Profiles\umbrellaに配置して、OrgInfo.jsonファイルと Umbrellaローミングセキュリティモジュールインストーラを同じ場所に置くこともできます。
(注)
Umbrellaローミングセキュリティモジュール
/opt/cisco/anyconnect/NVMNVMLinux
/opt/cisco/anyconnect/profileその他のすべてのモジュール
AnyConnectを使用したVMのクローンに関するガイドライン(Windowsのみ)
AnyConnectエンドポイントは、AnyConnectのすべてのモジュールが使用するユニバーサルデバイス識別子(UDID)によって一意に識別されます。WindowsVMが複製されると、UDIDは
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド16
AnyConnectの展開
AnyConnectを使用した VMのクローンに関するガイドライン(Windowsのみ)
送信元からのすべてのクローンで同じままになります。複製されたVMで発生する可能性のある問題を回避するには、AnyConnectを使用する前に次のアクションを実行します。
1. C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Clientに移動し、管理者権限で次のように dartcli.exeを実行します。dartcli.exe -nu
または
dartcli.exe -newudid
2. このコマンドで UDIDが変更されたことを確認するため、このコマンドの前と後で UDIDを出力します。
dartcli.exe -u
または
dartcli.exe -udid
スタンドアロンアプリケーションとしての AnyConnectモジュールの事前展開
ネットワークアクセスマネージャ、Webセキュリティ、およびUmbrellaローミングセキュリティモジュールは、スタンドアロンアプリケーションとして実行できます。コア AnyConnectクライアントがインストールされていますが、VPNおよびAnyConnect UIは使用されません。
Windowsでの SMSによるスタンドアロンモジュールの展開
手順
ステップ 1 ソフトウェア管理システム(SMS)を設定してMSIプロパティPRE_DEPLOY_DISABLE_VPN=1を設定し、VPN機能を無効にします。次に例を示します。
msiexec /package anyconnect-win-version-predeploy-k9.msi /norestart /passive
PRE_DEPLOY_DISABLE_VPN=1 /lvx*
MSIは、MSIに埋め込まれたVPNDisable_ServiceProfile.xmlファイルをVPN機能のプロファイルに指定されたディレクトリにコピーします。
ステップ 2 モジュールをインストールします。たとえば、次のCLIコマンドは、Webセキュリティをインストールします。
msiexec /package anyconnect-win-version-websecurity-predeploy-k9.msi /norestart /passive
/lvx* c:\test.log
ステップ 3 (任意)DARTをインストールします。
misexec /package annyconnect-win-version-dart-predeploy-k9.msi /norestart /passive /lvx* c:\test.log
ステップ 4 難解化クライアントプロファイルのコピーを、正しいWindowsフォルダに保存します。
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド17
AnyConnectの展開
スタンドアロンアプリケーションとしての AnyConnectモジュールの事前展開
ステップ 5 Cisco AnyConnectサービスを再起動します。
スタンドアロンアプリケーションとしての AnyConnectモジュールの展開
AnyConnectのネットワークアクセスマネージャ、Webセキュリティ、およびUmbrellaローミングセキュリティモジュールは、スタンドアロンアプリケーションとしてユーザコンピュー
タに展開できます。これらのアプリケーションでは、DARTがサポートされます。
その利点と展開方法の詳細については、スタンドアロン NVM(301ページ)を参照してください。
要件
VPNDisable_ServiceProfile.xmlファイルは、VPNクライアントプロファイルディレクトリにある唯一の AnyConnectプロファイルである必要もあります。
スタンドアロンモジュールのユーザインストール
個別のインストーラを取得して、手動で配布できます。
zipイメージをユーザが使用できるようにし、それをインストールするように要求する場合は、スタンドアロンモジュールだけをインストールするように指示してください。
コンピュータ上にネットワークアクセスマネージャが事前にインストールされていなかった
場合、ユーザは、ネットワークアクセスマネージャのインストールを完了するためにコン
ピュータをリブートする必要があります。一部のシステムファイルのアップグレードを必要と
する、アップグレードインストールの場合も、ユーザはリブートを必要とします。
(注)
手順
ステップ 1 ユーザに AnyConnectネットワークアクセスマネージャ、AnyConnect Webセキュリティモジュール、または Umbrellaローミングセキュリティモジュールを確認するように指示します。
ステップ 2 [Cisco AnyConnect VPNモジュール(Cisco AnyConnect VPN Module)]チェックボックスをオフにするようユーザに指示します。
このようにすると、コアクライアントの VPN機能が無効になり、ネットワークアクセスマネージャ、Webセキュリティ、または Umbrellaローミングセキュリティモジュールが、インストールユーティリティによって、VPN機能なしのスタンドアロンアプリケーションとしてインストールされます。
ステップ 3 (任意)[ロックダウンコンポーネントサービス(Lock Down Component Services)]チェックボックスをオンにします。ロックダウンコンポーネントサービスによって、ユーザは、Windowsサービスを無効または停止できなくなります。
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド18
AnyConnectの展開
スタンドアロンアプリケーションとしての AnyConnectモジュールの展開
ステップ 4 オプションモジュール用のインストーラを実行するようにユーザに指示します。このインストーラでは、VPNサービスなしで AnyConnect GUIを使用できます。ユーザが [選択してインストール(Install Selected)]ボタンをクリックすると、次の処理が行われます。
a) スタンドアロンネットワークアクセスマネージャ、スタンドアロンWebセキュリティモジュール、または Umbrellaローミングセキュリティモジュールの選択を確認するポップアップダイアログボックスが表示されます。
b) ユーザが [OK]をクリックすると、設定値 PRE_DEPLOY_DISABLE_VPN=1を使用して、インストールユーティリティにより、AnyConnectコアインストーラが起動されます。
c) インストールユーティリティは、既存のすべての VPNプロファイルを削除してからVPNDisable_ServiceProfile.xmlをインストールします。
d) インストールユーティリティは、指定に応じて、ネットワークアクセスマネージャインストーラ、Webセキュリティインストーラ、または Umbrellaローミングセキュリティインストーラを起動します。
e) 指定に応じて、ネットワークアクセスマネージャ、Webセキュリティモジュール、またはUmbrellaローミングセキュリティモジュールが、コンピュータ上でVPNサービスなしで有効になります。
Windowsへの事前展開
zipファイルを使用した AnyConnectの配布
この zipパッケージファイルは、インストールユーティリティ、個々のコンポーネントインストーラを起動するセレクタメニュープログラム、AnyConnectのコアモジュールとオプションモジュール用のMSIを含みます。zipパッケージファイルをユーザに対して使用可能にすると、ユーザはセットアッププログラム(setup.exe)を実行します。このプログラムでは、インストールユーティリティメニューが表示されます。このメニューから、ユーザはインストー
ルする AnyConnectモジュールを選択します。多くの場合、ロードするモジュールをユーザが選択しないようにする必要があります。したがって、zipファイルを使用して配布する場合は、zipを編集し、使用されないようにするモジュールを除外して、HTAファイルを編集します。
ISOを配布する 1つの方法は、SlySoftや PowerISなどの仮想 CDマウントソフトウェアを使用することです。
事前展開 zipの変更
•ファイルをバンドルしたときに作成したすべてのプロファイルを使用して zipファイルを更新し、配布しないモジュールのインストーラをすべて削除します。
• HTAファイルを編集して、インストールメニューをカスタマイズし、配布しないモジュールのインストーラへのリンクをすべて削除します。
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド19
AnyConnectの展開
Windowsへの事前展開
AnyConnect zipファイルの内容
目的ファイル
AnyConnectアイコンイメージ。GUI.ico
インストールユーティリティを起動します。Setup.exe
DARTモジュール用MSIインストーラファイル。anyconnect-win-version-dart-predeploy-k9.msi
SBLモジュール用MSIインストーラファイル。anyconnect-win-version-gina-predeploy-k9.msi
ISEポスチャモジュール用MSIインストーラ。anyconnect-win-version-iseposture-predeploy-k9.msi
AMPイネーブラ用MSIインストーラファイル。anyconnect-win-version-amp-predeploy-k9.exe
ネットワーク可視性モジュール用MSIインストーラファイル。anyconnect-win-version-nvm-predeploy-k9.msi
Umbrellaローミングセキュリティモジュール用MSIインストーラファイル。
anyconnect-win-version-umbrella-predeploy-k9.msi
ネットワークアクセスマネージャモジュール用MSIインストーラファイル。
anyconnect-win-version-nam-predeploy-k9.msi
ポスチャモジュール用MSIインストーラファイル。anyconnect-win-version-posture-predeploy-k9.msi
Webセキュリティモジュール用MSIインストーラファイル。anyconnect-win-version-websecurity-predeploy-k9.msi
AnyConnectコアクライアント用MSIインストーラファイル。anyconnect-win-version-core-vpn-predeploy-k9.msi
setup.exeの情報ファイル。autorun.inf
Acceptable Use Policy(アクセプタブルユースポリシー)の略。eula.html
サイトに合わせてカスタマイズできる、インストールユーティリティ
HTMLアプリケーション(HTA)。setup.hta
SMSを使用した AnyConnectの配布
展開するモジュールのインストーラ(*.msi)を zipイメージから抽出した後で、これらを手動で配布できます。
要件
• AnyConnectをWindowsにインストールする場合、AlwaysInstallElevatedまたはWindowsUser Account Control(UAC)グループポリシー設定のいずれかを無効にする必要があります。無効にしないと、AnyConnectインストーラはインストールに必要な一部のディレクトリにアクセスできない場合があります。
• Microsoft Internet Explorer(MSIE)ユーザは、信頼済みサイトリストにヘッドエンドを追加するか、Javaをインストールする必要があります。信頼済みサイトのリストへの追加に
Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド20
AnyConnectの展開
AnyConnect zipファイルの内容
より、最低限のユーザ操作で ActiveXコントロールによるインストールが可能になります。
プロファイルの展開プロセス
• MSIインストーラを使用する場合、MSIが Profiles\vpnフォルダに配置されている任意のプロファイルを選択し、インストール中に適切なフォルダに配置します。適切なフォルダ
パスは、CCOで使用可能な事前展開MSIファイルに含まれています。•インストール後にプロファイルを手動で事前展開する場合は、手動か、AltirisなどのSMSを使用してプロファイルをコピーすることにより、適切なフォルダにプロファイルを展開
します。
•クライアントに事前展開したプロファイルと同じクライアントプロファイルを、必ずヘッドエンドにも配置してください。このプロファイルは、ASAで使�